Beim Versuch das Active Directory Passwort eines Benutzers via Outlook Web Access (OWA) zu ändern, tritt unter Umständen die folgende Fehlermeldung auf einem Exchange 2016 Server auf:
Sie sind nicht berechtigt, Ihr Kennwort zu ändern
Auch die folgende Fehlermeldung kann in diesem Zusammenhang bei der Passwortänderung auftreten:
Das eingegebene Kennwort entspricht nicht den Mindestsicherheitsanforderungen
Hierfür kann es verschiedene Gründe geben, der einfachste Grund ist, dass der Benutzer tatsächlich nicht das Recht hat sein eigenes Kennwort zu ändern:
Das wäre allerdings meistens tatsächlich zu einfach. Erstaunlicherweise kann es auch zu Problemen kommen, wenn das minimale Kennwortalter auf einen Tag gesetzt ist. Die Einstellung findet sich in der “Default Domain Policy” im Active Directory:
Die Einstellung bewirkt, dass ein Benutzer sein Kennwort nur alle 24 Stunden ändern kann. Hier scheint Exchange aber in bestimmten Situationen etwas durcheinander zu kommen und bringt dann ebenfalls eine der oben stehenden Fehlermeldungen. Warum dieses Verhalten in manchen Umgebungen auftritt und in anderen völlig Problemlos läuft, konnte ich bisher nicht rausfinden. In den meisten Fällen hat es bisher geholfen das minimale Kennwortalter auf 0 Tage zu setzen. Dies hat allerdings auch zur Folge, dass Benutzer ihr Kennwort beliebig oft ändern können. Vielleicht hilft der Tipp ja jemanden weiter.